Los investigadores de ciberseguridad han revelado una error de seguridad de adhesión severidad ahora parada en Cursor, un editor de código de inteligencia fabricado (IA) popular, que podría resultar en una ejecución de código remoto.
La vulnerabilidad, rastreada como CVE-2025-54135 (Puntuación CVSS: 8.6), se ha abordado en la traducción 1.3 animado el 29 de julio de 2025. Ha sido llamado Curxecute de AIM Labs, que previamente reveló Echoleak.
“El cursor se ejecuta con privilegios a nivel de desarrollador, y cuando se combina con un servidor MCP que obtiene datos externos no confiables, esos datos pueden redirigir el flujo de control del agente y explotar esos privilegios”, dijo el equipo de AIM Labs en un mensaje compartido con las telediario del hacker.
“Al atizar datos envenenados al agente a través de MCP, un atacante puede obtener la ejecución completa del código remoto bajo los privilegios del adjudicatario y alcanzar cualquier cantidad de cosas, incluidas las oportunidades de ransomware, robo de datos, manipulación de IA y alucinaciones, etc.”
En otras palabras, la ejecución del código remoto activado por una sola inyección de inmediato de hostigación externamente que reescribe silenciosamente el archivo “~/.cursor/mcp.json” y ejecuta comandos controlados por el atacante.
La vulnerabilidad es similar a Echoleak en que las herramientas, que están expuestas por los servidores del Protocolo de control de modelos (MCP) para los modelos de IA y facilitan la interacción con sistemas externos, como consultar bases de datos o invocar API, podrían obtener datos no confiables que puedan envenenar el comportamiento esperado del agente.
Específicamente, AIM Security descubrió que el archivo MCP.JSON utilizado para configurar los servidores MCP personalizados en el cursor puede desencadenar la ejecución de cualquier entrada nueva (por ejemplo, asociar un servidor MCP Slack) sin requerir ninguna confirmación.
Este modo automotriz es particularmente peligroso porque puede conducir a la ejecución cibernética de una carga útil maliciosa que el atacante inyecta a través de un mensaje flojo. La secuencia de ataque procede de la próximo forma –
- El adjudicatario agrega Slack MCP Server a través de la interfaz de adjudicatario de Cursor
- Mensaje de publicaciones del atacante en un canal conocido de holgura con la carga útil de inyección de comando
- La víctima abre un nuevo chat y le pide al agente de Cursor que use el servidor Slack MCP recién configurado para resumir sus mensajes en un aviso: “Use herramientas Slack para resumir mis mensajes”
- El agente encuentra un mensaje especialmente fabricado diseñado para inyectar comandos maliciosos a su contexto
“La causa central de la error es que las nuevas entradas al archivo Completo MCP JSON están comenzando automáticamente”, dijo Aim Security. “Incluso si la tirada es rechazada, la ejecución del código ya había sucedido”.
Todo el ataque es extraordinario por su simplicidad. Pero igualmente destaca cómo las herramientas asistidas por AI-AI pueden brindar nuevas superficies de ataque al procesar contenido forastero, en este caso, cualquier servidor de MCP de terceros.
“A medida que los agentes de IA sigan unir mundos externos, internos e interactivos, los modelos de seguridad deben contraer que el contexto forastero puede afectar el tiempo de ejecución del agente y monitorear cada brinco”, agregó la compañía.
La traducción 1.3 del cursor igualmente aborda otro problema con el modo automotriz que puede eludir fácilmente las protecciones basadas en el denylista de la plataforma utilizando métodos como la codificación de base64, los scripts de shell y la encerración de los comandos de shell interiormente de las citas (por ejemplo, “E” Cho Cho) para ejecutar comandos inseguros.
A posteriori de la divulgación responsable del equipo de investigación de mostrador de inactividad, Cursor ha cubo el paso de desaprobar por completo la función Denylist para auto-carrera a merced de una directorio de algodín.
“No espere que las soluciones de seguridad incorporadas proporcionadas por las plataformas de codificación VIBE sean integrales o infalibles”, dijeron los investigadores Mustafa Naamneh y Micah Gold. “La responsabilidad se encuentra en organizaciones de adjudicatario final para asegurar que los sistemas de agente estén equipados con barandillas adecuadas”.
La divulgación se produce cuando Hiddenlayer igualmente descubrió que el enfoque del denylista ineficaz del cursor se puede armarse incrustando instrucciones maliciosas ocultas con un archivo GitHub ReadMe.md, permitiendo a un atacante robar claves API, credenciales de SSH e incluso ejecutar comandos de sistema bloqueados.
“Cuando la víctima vio el plan en GitHub, la inyección rápida no era visible, y le pidieron a Cursor que clonara el plan y los ayudara a establecerlo, una ocurrencia popular para un sistema de agente basado en IDE”, señalaron los investigadores Kasimir Schulz, Kenneth Yeung y Tom Bonner.
“Sin secuestro, posteriormente de clonar el plan y revisar el ReadMe para ver las instrucciones para configurar el plan, la inyección de inmediato se hizo cargo del maniquí AI y la obligó a usar la utensilio GREP para encontrar cualquier tecla en el espacio de trabajo del adjudicatario ayer de exfiltrar las claves con rizo”.
Hiddenlayer dijo que igualmente encontró debilidades adicionales que podrían abusarse de filtrar el indicador del sistema del cursor al anular la URL cojín proporcionada para las solicitudes de API de OpenAI a un maniquí proxiado, así como exfiltrar las claves SSH privadas de un adjudicatario al beneficiarse dos herramientas benignas, Read_File y Create_Diagram, en lo que se ardor una combinación de combinación de herramientas.
Esto esencialmente implica insertar un comando de inyección de inmediato interiormente de un archivo GitHub ReadMe.md que está analizado por el cursor cuando el adjudicatario de la víctima le pide al editor de códigos que resume el archivo, lo que resulta en la ejecución del comando.
https://www.youtube.com/watch?v=jyrceponqks
La instrucción oculta, por su parte, utiliza la utensilio Read_file para interpretar las claves SSH privadas que pertenecen al adjudicatario y luego utiliza la utensilio Create_Diagram para exfiltrar las teclas a una URL de sitio web de sitios controlado por el atacante. Todas las deficiencias identificadas han sido remediadas por el cursor en la traducción 1.3.
La nota de varias vulnerabilidades en el cursor se produce cuando TraceBit ideó un ataque dirigido a la CLI Gemini de Google, una utensilio de bisectriz de código franco ajustada para las tareas de codificación, que explotó una configuración predeterminada de la utensilio para exfiltrar los datos confilados subrepticiamente a un servidor controlado por el atacante con curvas.
Como observado en el caso del cursor, el ataque requiere que la víctima (1) instruya a Gemini CLI que interactúe con una cojín de código GitHub creada por el atacante que contenga una inyección indirecta indirecta en el archivo de contexto Gemini.MD y (2) agregue un comando benign a una directorio de arrendamiento (EG, Grep).
“La inyección inmediata dirigida a estos medios, unido con problemas significativos de fuerza y visualización interiormente de Gemini CLI podría causar una ejecución de código arbitraria indetectable”, dijo el fundador de TraceBit y CTO Sam Cox.
Para mitigar el peligro planteado por el ataque, se aconseja a los usuarios de Gemini CLI que actualicen sus instalaciones a la traducción 0.1.14 enviada el 25 de julio de 2025.
